Hong Kong vieta l’accesso tramite SMS ed email sulle piattaforme crypto, anche altre autorità di regolamentazione seguiranno?

  • La SFC di Hong Kong ha vietato l’accesso tramite OTP per le piattaforme crypto e i broker.
  • Il phishing ha causato il 57% dei 15.877 incidenti informatici nella regione nel 2025.
  • Gli operatori devono adottare le passkey o il device binding entro 12 mesi.
Promo

L’autorità di regolamentazione dei titoli di Hong Kong ha vietato l’accesso tramite one-time password (OTP) sulle piattaforme di trading crypto. La nuova regola punta a contrastare le truffe di phishing, responsabili di un’impennata negli incidenti di cybersicurezza nella regione.

La Securities and Futures Commission ha pubblicato una circolare. Impone ai broker online e alle piattaforme di trading crypto di eliminare gli OTP tramite SMS, email e app.

Le piattaforme dovranno sostituire l’accesso dei clienti e l’associazione dei dispositivi con passkey e altre soluzioni resistenti al phishing. Gli operatori hanno 12 mesi di tempo per adeguarsi, mentre i grandi broker devono effettuare il passaggio immediatamente. La SFC aveva già segnalato i rischi degli OTP nelle linee guida di febbraio 2025. Ora questa circolare rende obbligatorio il cambiamento.

Contenuto sponsorizzato
Contenuto sponsorizzato

Il phishing alimenta un anno record per gli incidenti informatici

Nel 2025 a Hong Kong sono stati registrati 15.877 incidenti di cybersicurezza. La SFC afferma che ciò rappresenta un aumento del 27% rispetto all’anno precedente. Il phishing ha rappresentato il 57% dei casi. Gli attacchi botnet sono stati il 18%, mentre i malware il 15%.

Il totale del 2025 è più del doppio rispetto ai 7.752 incidenti segnalati nel 2023.

Distribuzione dei report sugli incidenti HKCERT 2025
Distribuzione dei report sugli incidenti HKCERT 2025. Fonte: HKCERT

Le perdite globali da phishing collegate ai wallet crypto hanno raggiunto circa 306 milioni di dollari nel solo primo trimestre 2026. Di conseguenza, questa cifra ha spinto la SFC ad agire. Gli attaccanti si affidano sempre di più al furto di credenziali invece che a veri e propri exploit tecnici per colpire gli utenti crypto. BeInCrypto ha rilevato una dinamica simile questo mese: una firma di phishing ha svuotato 999.999 USDT da un singolo wallet Ethereum.

Report incidenti di sicurezza HKCERT 2025
Report sugli incidenti di sicurezza HKCERT 2025. Fonte: HKCERT

Le nuove regole spingono le piattaforme crypto verso le passkey

Le piattaforme devono segnalare accessi, trade e prelievi sospetti. Devono anche notificare ai clienti gli eventi rilevanti riguardanti i loro account. Eric Yip della SFC ha spiegato che le aziende necessitano di autenticazioni solide affiancate da una risposta rapida agli incidenti. Tuttavia, ha aggiunto che la sola prevenzione raramente ferma un attaccante determinato.

Nel frattempo, anche le piattaforme crypto decentralizzate affrontano minacce simili. Una finta airdrop di phishing ha recentemente svuotato 12.300 dollari a un utente HyperSwap in meno di 90 secondi. Allo stesso modo, un falso sito Uniswap di phishing ha sottratto circa 400.000 dollari da vari wallet nello stesso periodo. Questi casi dimostrano come il divieto per gli OTP affronti solo una parte del più ampio problema del furto di credenziali che colpisce il settore crypto.

Anche i regolatori globali affrontano la stessa pressione dal phishing

Ora la SFC ritiene la direzione aziendale direttamente responsabile delle perdite dei clienti. Inoltre, controlli informatici deboli fanno scattare questa responsabilità, uno standard più severo rispetto alle linee guida precedenti. Le società che non rispettano la scadenza di 12 mesi rischiano sanzioni e danni reputazionali in tutto il settore crypto. I grandi broker sono sottoposti a controllo immediato secondo la nuova tempistica.

Anche altrove, le autorità di regolamentazione si trovano ad affrontare la stessa pressione del phishing. L’operazione globale delle forze dell’ordine guidata dall’FBI e i congelamenti di asset crypto di Tether in collaborazione con la unità T3 di TRON si concentrano entrambi su reti costruite su credenziali rubate. Il divieto di Hong Kong solleva ora una domanda chiara per le autorità in Singapore, Regno Unito e oltre: anche altri regolatori adotteranno obblighi anti-phishing, o aspetteranno che le perdite aumentino?


Per leggere le ultime analisi di mercato sulle criptovalute di BeInCrypto, clicca qui.

Disclaimer

Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.

Contenuto sponsorizzato
Contenuto sponsorizzato